Cos'è DNSSEC
DNSSEC (Domain Name System Security Extensions) è un'estensione di sicurezza del sistema DNS che consente di verificare l'autenticità delle risposte fornite dai server DNS.
In pratica, DNSSEC protegge il dominio da particolari attacchi informatici (come il DNS cache poisoning o lo spoofing), impedendo che un utente venga indirizzato verso un sito diverso da quello realmente richiesto.
È importante sottolineare che DNSSEC non cifra il traffico (questa è la funzione dei certificati SSL/TLS), ma garantisce che le informazioni DNS ricevute siano autentiche e non siano state alterate durante il percorso.
DNSSEC è disponibile per tutti i domini?
No.
La possibilità di utilizzare DNSSEC dipende dal Registro che gestisce la specifica estensione di dominio.
Ad esempio, DNSSEC è disponibile per estensioni come:
- .com
- .net
- .org
- .info
- .eu
Alcune estensioni, invece, non consentono la gestione di DNSSEC, tra cui ad esempio:
- .it
- .ae
- .hk
- .hu
L'elenco delle estensioni abilitate può variare nel tempo in base alle decisioni dei singoli Registri.
È possibile utilizzare DNSSEC anche con nameserver esterni?
Sì.
Per tutte le estensioni che supportano DNSSEC, il servizio può essere utilizzato sia:
- con i nameserver di DomainRegister;
- con nameserver esterni.
Le modalità operative sono però differenti.
Dominio registrato presso DomainRegister che utilizza i nostri nameserver
Per attivare o disattivare DNSSEC è sufficiente aprire un ticket indicando:
- il nome del dominio;
- la richiesta di attivazione oppure disattivazione di DNSSEC.
Il nostro staff provvederà alla configurazione e all'aggiornamento dei dati presso il Registro competente.
Dominio registrato presso DomainRegister che utilizza nameserver esterni
In questo caso il record DS viene generato dal provider che gestisce i nameserver.
Per richiedere l'attivazione, l'aggiornamento oppure la rimozione di DNSSEC è necessario aprire un ticket indicando:
- il nome del dominio;
- la richiesta di attivazione, aggiornamento oppure disattivazione di DNSSEC;
- il valore del record DS, nel seguente formato:
<keytag> <algorithm> <digestType> <digest>
I singoli campi hanno il seguente significato:
| Campo | Valori ammessi |
|---|---|
| Keytag | 0 - 65535 |
| Algorithm | 2, 3, 4, 5, 6, 7, 8, 10, 12, 13, 14, 15, 16 |
| DigestType | 1 (SHA-1), 2 (SHA-256), 3 (GOST R 34.11-94), 4 (SHA-384) |
| Digest | valore hash fornito dal provider DNS |
Il record DS viene normalmente fornito direttamente dal provider che gestisce i nameserver autorevoli oppure può essere ricavato dal software DNS utilizzato.
Costi
Poiché ogni operazione relativa a DNSSEC richiede un intervento manuale presso il Registro competente, ciascuna richiesta è soggetta ad un corrispettivo una tantum di € 13,50.
La tariffa si applica alle richieste di:
- attivazione;
- aggiornamento del record DS;
- disattivazione.
La gestione della zona DNS cambia?
No.
L'abilitazione di DNSSEC non modifica in alcun modo la normale gestione della zona DNS.
È quindi possibile continuare ad aggiungere, modificare o eliminare record DNS (A, AAAA, MX, TXT, CNAME, ecc.) in completa autonomia.
Le normali modifiche alla zona DNS non richiedono alcun aggiornamento del record DS registrato presso il Registro.
L'aggiornamento del record DS è necessario solamente quando vengono modificate le chiavi DNSSEC (ad esempio in caso di key rollover o di migrazione verso un differente provider DNS).
Trasferimento del dominio
Prima di avviare il trasferimento di un dominio verso un altro Registrar è fortemente consigliato disabilitare DNSSEC.
Questo riduce il rischio di problemi di validazione DNS durante il trasferimento e consente al nuovo Registrar o al nuovo provider DNS di configurare correttamente le nuove chiavi DNSSEC dopo il completamento dell'operazione.
Qualora si desideri mantenere DNSSEC anche dopo il trasferimento, sarà possibile riattivarlo una volta conclusa la procedura, seguendo le modalità previste dal nuovo Registrar.
Domande frequenti
DNSSEC rende il sito web più sicuro?
Sì, ma in un modo diverso rispetto ad un certificato SSL/TLS.
DNSSEC protegge il sistema DNS, garantendo che la risposta ricevuta dal resolver sia autentica e non sia stata alterata da terzi. In questo modo viene ridotto il rischio che un utente venga indirizzato verso un sito fraudolento attraverso attacchi al DNS.
Non protegge invece il contenuto delle comunicazioni tra il browser ed il server web.
DNSSEC sostituisce un certificato SSL?
No.
DNSSEC e SSL/TLS svolgono funzioni completamente differenti e complementari.
- DNSSEC verifica che la risoluzione del nome di dominio sia autentica e non sia stata manipolata.
- SSL/TLS cifra invece le comunicazioni tra il browser e il server, garantendone la riservatezza e l'integrità.
Per ottenere il massimo livello di sicurezza è consigliabile utilizzare entrambe le tecnologie.
DNSSEC rende il sito più veloce?
No.
L'attivazione di DNSSEC non comporta alcun miglioramento delle prestazioni del sito web.
Le operazioni di verifica delle firme digitali aggiungono un carico minimo, generalmente impercettibile per l'utente finale. Lo scopo di DNSSEC è aumentare la sicurezza del sistema DNS, non migliorare la velocità di navigazione.
Se modifico i record DNS devo aggiornare anche DNSSEC?
Nella quasi totalità dei casi, no.
È possibile modificare liberamente la zona DNS (record A, AAAA, MX, TXT, CNAME, SPF, ecc.) senza dover effettuare alcun aggiornamento del record DS registrato presso il Registro.
L'aggiornamento è necessario soltanto quando vengono sostituite le chiavi DNSSEC, ad esempio durante un key rollover o in seguito alla migrazione verso un diverso provider DNS.


